思科IOS12.3的特性

2016-12-09 00:00:00嘉辉 思科认证

  思科的IOS 12.3和其子版本不仅包含增加的基本变化和漏洞修复。还有很多其他的,包括网络准入控制(NAC),最优边缘路由,动态多点VPN,IPSec全状态故障恢复等。下面一起和小编来看看吧!

  网络准入控制(NAC)

  思科的NAC运行在思科路由器上(运行在交换机上的NAC将很快出现),要使用NAC,你还需要在网络中的每台PC上安装客户端软件(思科认证代理)。网络上需要有思科安全接入控制服务器(ACS)。在PC能够访问网络之前,检测其防病毒定义版本(你也可以让NAC检测其他软件版本)。如果该PC没有需要的版本,它就不能访问网络,取而代之的是,它被隔离在一个专用网中以进行必要的升级。微软已经出品了类似的产品,称为网络接入防护(NAP)。幸运的是,这两家公司已经联手尝试使他们具有竞争性的产品相互兼容。

  入侵防护系统

  在IOS 12.0(5)T中,思科引入了一个入侵检测系统(IDS)。该版本只提供59个特征来识别入侵。这些特征不能升级。因此,随着新的入侵类型的出现,IOS不再有保护作用。在IOS 12.3(11)T中,思科提供包括118条特征的入侵防护系统(IPS),新的IPS中最重要的不同,在于它允许用户随着新的攻击手段被发现而增加新的特征。它通过使用一个位于路由器闪存上的特征定义文件(SDF)来实现这一点。用户可以提交新的IPS警报并且查看思科入侵防护警报中心上现有的警报。当通过路由器的一个数据包符合某个特征时,路由器可以被配置为向网络管理员报警或者丢弃该数据包并发送一个警报。思科宣称新的设计,不会影响路由器的性能。

  最优边缘路由(OER)

  OER是一个允许在广域网边缘进行负载均衡的新特性。在我的公司,我拥有两条连接到Internet的运行BGP最优路由的T1线路。尽管它确实给我们带来了冗余,但对负载均衡却无所作为。这是因为一个提供商是Tier 1,而另一个是Tier 2.Tier 1提供商几乎总是提供更短的路径而且几乎所有流量通过该线路。我们曾尝试使用权重和多出口标识(MED)进行负载均衡,但这并不总是有效。OER应该能够解决这类负载均衡问题。通过OER,你可以定义延迟策略,吞吐量和链路开销参数。路由器使用该策略决定如何平衡通过你的多个广域网链路的负载。这些基本上都是Internet连接,但是也可能是其他类型的广域网连接。OER不仅支持静态路由,还支持BGP协议。所有这些可以在路由器的IOS上进行配置。如果你想有一个图形界面以控制更复杂的OER环境,你可以购买一个基于Linux的附加OER产品,称为OER主控制器引擎。

  企业版自动QoS

  AutoQoS(自动服务质量)是一个新特性,它能够发现网络中的流量类型以及接口速度,然后根据最优方法为该流量配置合适的网络质量。该特性最初是为广域网上的音频和视频质量而设计,但是它也可以用在许多其他事情上。AutoQoS可以在几分钟内完成可能需要一位网络专家几小时完成的事情。缺点是AutoQoS并不完美,它对网络中的任何可能的改变不会做任何反应,而且一旦它被配置,你仍需要一位网络专家分析其结果并确保其正常运行。

  自动安全

  自动安全(AutoSecure)分析路由器的安全设置并且可以为你进行修改。

  CallManager Express(CME)和Survivable Remote Site Telephony(SRST)

  CallManager Express(CME)已经从允许路由器作为一个非常有限的,单机的,IP层语音(VoIP)电话系统进化到具有良好性能的(路由器上)中型企业(SME)电话系统。关于远程电话应急呼叫(SRST),勾勒出一个拥有中央管理的CallManager(思科 VoIP电话系统),具有许多远程办公地点的大型企业。在那些远程地点,路由器会配置SRST,所以如果到中央CallManager的广域网连接丢失,启用SRST的路由器可能向远程电话提供有限的呼叫特性。

  动态多点VPN(DMVPN)

  从技术上讲,这个特性出现在12.2(13)T中,但是它太酷了,所以我想介绍一下它。DMVPN允许路由器根据需要在Internet上动态地建立双方的VPN隧道。然而更方便的是,这些隧道只需要非常简单的配置。在过去,要建立一个完全网状连结的VPN网络,必须对每个远程站点的路由器(或VPN连接器)进行相当多的配置。随着远程站点的增多,同时增长的VPN隧道成为了麻烦事,而且所有配置难以处理。有了DMVPN,一个完全网状连结的VPN网络可以伸缩,而且VPN隧道只在需要时建立。

  IPSec全状态故障恢复

  这个特性确实就像它的名字所说的那样。你有两个路由器,它们都有IPSec隧道,以热备用路由协议(HSRP)连接到LAN.如果一台路由器发生故障,在计划的或非计划的情况下,备份路由器会取代它而且IPSec隧道永远不会被终止。尽管这项技术可以在高端VPN连接器中见到,但是将它免费地包括在路由器的IOS中是非常好的意外收获。

  基于网络的应用识别(NBAR)

  多数路由器只是考虑第三层的通信。通过NBAR,路由器可以纵观四到七层。这意味着路由器可以识别应用。一旦它识别出应用,它就可以采取某些措施以确保该应用获得更高的优先权,丢弃来自其他应用的数据包,或采取其他措施。NBAR已经出现在IOS 12.0中,但它只能识别少量的应用。IOS 12.3中不同以往的是,NBAR可以识别更多的应用而且可以使用PDLM(数据包描述语言模块)动态地增加新的应用。思科定期发布新应用的新PDLM.你可以在他们的PDLM Web页面上找到该列表(需要有效的CCO登录)。

  思科安全设备管理器(SDM)

  SDM是路由器的一个免费Java管理工具。它需要IOS 12.2或12.3,这依赖于你的路由器模式。

  透明防火墙

  假设你想在两个网络之间增加一个防火墙。通常,和一个路由器类似,防火墙的每个接口必须对应不同的网络。这听起来像一个大的网络变更,是吗?或许不必再如此复杂。在IOS 12.3(7)T中,思科引入了透明防火墙。工作在第二层的透明防火墙的好处是它可以用最小的配置增加到现有网络中,而且它向该网络提供防火墙安全。实际上,你可以在运行第三层防火墙特性的同一个路由器运行第二层透明防火墙。在其更基础的形式中,透明防火墙以这样的方式工作:你创建一个桥组,将你的接口放进去,在某个接口上启用“ip inspect”建立一个将被应用在其他接口上的访问列表,那么,你的透明防火墙就做好了。

  热升级

  热升级允许一个运行中的路由器查看IOS镜像,解压它并直接启动它。这样做使得不必关闭路由器,回到ROMMON,导入镜像并解压镜像。思科认为这是对在IOS 12.3(2)T中引入的热重启特性的补充,并使将路由器重启的时间从四分钟减少到两分钟。

[思科认证]相关推荐

[思科认证]相关栏目推荐
查看更多
上一篇:实施思科安全访问解决方案考试要点 下一篇:思科数据中心基础架构故障排除考试主要内容